linux 安全基线

1.物理防护

BIOS设置密码

引导grub.conf添加密码

2.系统安装时采用最小化原则，只安装base services

3.应用数据分区与系统隔离

4.禁用开机不需要启动的服务

5.隐藏系统信息

6.服务器和互联网时间同步

7.sudo对普通用户权限精细控制

8.密码策略：有效期90天 复杂度16位

8.ssh安全加固

9.优化Linux内核,增加系统文件描述符、堆栈等配置

10.清除无用的默认系统帐户或组（非必须）

11.文件权限

限制全局默认权限为0750，文件夹 umask 027

限制敏感文件,使用chattr命令给下列文件加上不可更改的属性

# chattr +i /etc/passwd

# chattr +i /etc/shadow

# chattr +i /etc/group

# chattr +i /etc/gshadow

# chattr +a .bash_history      避免删除.bash_history或者重定向到/dev/null

# chattr +i .bash_history

# chmod 700 /usr/bin           恢复 chmod 555 /usr/bin

# chmod 700 /bin/ping          恢复 chmod 4755 /bin/ping

# chmod 700 /usr/bin/vim       恢复 chmod 755 /usr/bin/vim

# chmod 700 /bin/netstat       恢复 chmod 755 /bin/netstat

# chmod 700 /usr/bin/tail      恢复 chmod 755 /usr/bin/tail

# chmod 700 /usr/bin/less      恢复 chmod 755 /usr/bin/less

# chmod 700 /usr/bin/head      恢复 chmod 755 /usr/bin/head

# chmod 700 /bin/cat           恢复 chmod 755 /bin/cat

# chmod 700 /bin/uname         恢复 chmod 755 /bin/uname

# chmod 500 /bin/ps            恢复 chmod 755 /bin/ps

限制非root用户执行/etc/rc.d/init.d/下的系统命令

# chmod -R 700 /etc/rc.d/init.d/*

# chmod -R 777 /etc/rc.d/init.d/*    恢复默认设置

12.禁止使用Ctrl+Alt+Del快捷键重启服务器

# cp /etc/inittab /etc/inittabbak

# vi /etc/inittab #注释下面两行

#start on control-alt-delete

#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

13.禁止yum update更新系统时不升级内核，只更新软件包

由于系统与硬件的兼容性问题，有可能升级内核后导致服务器不能正常启动，没有特别的需要，建议不要随意升级内核。

14.调整history大小，删除MySQL历史记录

15.计划任务

16.实时监控

查询系统端口及服务状态

web 服务端口 8081

文件监控

检查具有suid、sgid权限的文件

# find / -perm -4000 -o -perm -2000

# find 24小时内更改过的文件

检测Rootkit

17.应用基线

keepalive 15秒

错误页面重定向，出于安全方面的考量，为了避免敏感信息的外泄

上传文件大小

18.日志 logstash

　常用的日志文件如下：

　　　　　　access-log　　　纪录HTTP/web的传输

　　　　　　acct/pacct　　　纪录用户命令

　　　　　　aculog　　　　　纪录MODEM的活动

　　　　　　btmp　　　　　　纪录失败的纪录

　　　　　　lastlog　　　　 纪录最近几次成功登录的事件和最后一次不成功的登录

　　　　　　messages　　　　从syslog中记录信息（有的链接到syslog文件）

　　　　　　sudolog　　　　 纪录使用sudo发出的命令

　　　　　　sulog　　　　　 纪录使用su命令的使用

　　　　　　syslog　　　　　从syslog中记录信息（通常链接到messages文件）

　　　　　　utmp　　　　　　纪录当前登录的每个用户

　　　　　　wtmp　　　　　　一个用户每次登录进入和退出时间的永久纪录

　　　　　　xferlog　　　　 纪录FTP会话

用户登入的信息，安全性和验证性的日志

last、lastb、lastlog

utmp文件中保存的是当前正在本系统中的用户的信息。

wtmp文件中保存的是登录过本系统的用户的成功信息。

btmp文件中保存的是登录失败的信息。

#使用last命令可以查看btmp文件：例如，”last -f /var/log/btmp | more“

#1、当前登录用户的信息记录在文件utmp中；======who、w命令

#2、登录和退出记录在文件wtmp中；========last命令

#3、登录失败的记录在文件btmp中========lastb命令

#4、最后一次登录可以用lastlog命令

#5、messages======从syslog中记录信息

注意：wtmp和utmp文件都是二进制文件。

/var/log/messages                               包括整体系统信息，其中也包含系统启动期间的日志。此外，mail，cron，daemon，kern和auth等内容也记录在var/log/messages日志中。

/var/log/dmesg                                  包含内核缓冲信息（kernel ring buffer）。在系统启动时，会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。

/var/log/auth.log                               包含系统授权信息，包括用户登录和使用的权限机制等。

/var/log/boot.log                               包含系统启动时的日志。

/var/log/daemon.log                             包含各种系统后台守护进程日志信息。

/var/log/dpkg.log                               包括安装或dpkg命令清除软件包的日志。

/var/log/kern.log                               包含内核产生的日志，有助于在定制内核时解决问题。

/var/log/lastlog                                记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。

/var/log/maillog /var/log/mail.log              包含来着系统运行电子邮件服务器的日志信息。例如，sendmail日志信息就全部送到这个文件中。

/var/log/user.log                               记录所有等级用户信息的日志。

/var/log/Xorg.x.log                             来自X的日志信息。

/var/log/alternatives.log                       更新替代信息都记录在这个文件中。

/var/log/btmp                                   记录所有失败登录信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

/var/log/cups                                   涉及所有打印信息的日志。

/var/log/anaconda.log                           在安装Linux时，所有安装信息都储存在这个文件中。

/var/log/yum.log                                包含使用yum安装的软件包信息。

/var/log/cron                                   每当cron进程开始一个工作时，就会将相关信息记录在这个文件中。

/var/log/secure                                 包含验证和授权方面信息。例如，sshd会将所有信息记录（其中包括失败登录）在这里。

/var/log/wtmp或/var/log/utmp                    包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。

/var/log/faillog                                包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。

除了上述Log文件以外,/var/log还基于系统的具体应用包含以下一些子目录：

/var/log/httpd/或/var/log/apache2               包含服务器access_log和error_log信息。

/var/log/lighttpd/                              包含light HTTPD的access_log和error_log。

/var/log/mail/                                  这个子目录包含邮件服务器的额外日志。

/var/log/prelink/                               包含.so文件被prelink修改的信息。

/var/log/audit/                                 包含被 Linux audit daemon储存的信息。

/var/log/samba/                                 包含由samba存储的信息。

/var/log/sa/                                    包含每日由sysstat软件包收集的sar文件。

/var/log/sssd/                                  用于守护进程安全服务。

除了手动存档和清除这些日志文件以外，还可以使用logrotate在文件达到一定大小后自动删除。可以尝试用vi，tail，grep和less等命令查看这些日志文件。

19.补丁更新

20.定时备份

21.防火墙

Juniper的Netscreen

H3C的Secpath

华为USG6390

IPTABLES

服务器禁ping

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

SELINUX

# 有外网IP的机器要开启配置防火墙，配置SELINUX

FACL

TCP_Wrappers应用级防火墙

# vi /etc/host.conf)，加入下面这行：

　　#　Lookup　names　via　DNS　first　then　fall　back　to　/etc/hosts.

　　order　bind,hosts

　　#　We　have　machines　with　multiple　IP　addresses.

　　multi　on

　　#　Check　for　IP　address　spoofing.

　　nospoof　on

　　第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。第三项设置说明要注意对本机未经许可的电子欺骗。

入侵检测

IDS

HIDS: OSSEC 主机入侵检测系统

NIDS: snort 网络入侵检测系统

Filesystem: tripware

AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境

IPS

IDS + Firewall